В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Django [ru] #STAY HOME

2735 membersпожаловаться на группу
2019 September 05

AK

Alex K. in Django [ru] #STAY HOME
Alexander Ovchinnikov 🦁
я не очень понял модель угроз
Модель - Вася Пупкин, который залогинен на не_моем сайте "aaa.ru", входит на мой сайт "bbb.ru". На моем сайте "bbb.ru" есть  js, который я чуть выше описал псевдокодом. Результат - от лица Васи Пупкина на "aaa.ru" появляется пост "я ем детей". Или, например, переводится на мой счет десяток догекоинов.
источник
13:33пожаловаться#1

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
Alex K.
Модель - Вася Пупкин, который залогинен на не_моем сайте "aaa.ru", входит на мой сайт "bbb.ru". На моем сайте "bbb.ru" есть  js, который я чуть выше описал псевдокодом. Результат - от лица Васи Пупкина на "aaa.ru" появляется пост "я ем детей". Или, например, переводится на мой счет десяток догекоинов.
запрос на API (чтобы он сработал) должен выполняться с учётом настроек CORS
источник
13:36пожаловаться#2

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
https://en.m.wikipedia.org/wiki/Cross-origin_resource_sharing
Wikipedia
Cross-origin resource sharing
mechanism that allows restricted resources on a web page to be requested from another domain outside the domain from which the first resource was served
источник
13:36пожаловаться#3

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
если ты сделаешь запрос к API моего сайта со своего сайта из браузера пользователя - он не сработает
источник
13:36пожаловаться#4

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
потому что твоего сайта нет в "белом списке" прокси моего API (криво объяснил, но общий смысл такой)
источник
13:37пожаловаться#5

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
возможно, если пользователь зашел на сайт через какой-нибудь IE6, то у тебя получится выполнить этот код
источник
13:37пожаловаться#6

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
ну, и фиг с ними))
источник
13:37пожаловаться#7

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
в современных браузерах эти CSRF токены нужны чтобы не дать пользователю с моего сайта отправить запрос на мой API неожиданным для него образом
источник
13:38пожаловаться#8

AK

Alex K. in Django [ru] #STAY HOME
Alexander Ovchinnikov 🦁
потому что твоего сайта нет в "белом списке" прокси моего API (криво объяснил, но общий смысл такой)
Ага, вот это уже ближе. А как бэкенд определяет, откуда пришли данные? По айпишнику, по каким-то хедерам?
источник
13:39пожаловаться#9

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
прочитай ссылку выше)
источник
13:39пожаловаться#10

DT

Dan Tyan in Django [ru] #STAY HOME
pavel
если делать в методе этот вызов то норм всё
покажи код файла
источник
13:42пожаловаться#11

AK

Alex K. in Django [ru] #STAY HOME
Alexander Ovchinnikov 🦁
прочитай ссылку выше)
"Для инициации Cross-origin запроса браузер клиента добавляет в HTTP запрос Origin (домен сайта, с которого происходит запрос). Например страница http://www.a.com/page.html пытается получить данные со страницы http://www.b.com/cors.txt. В случае если браузер клиента поддерживает технологию CORS, запрос будет выглядеть так:

GET /cors.txt HTTP/1.1
Host: www.b.com
Origin: www.a.com
"
Разве я не могу origin руками туда какой угодно указать во вредоносном js?
источник
13:43пожаловаться#12

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
Alex K.
"Для инициации Cross-origin запроса браузер клиента добавляет в HTTP запрос Origin (домен сайта, с которого происходит запрос). Например страница http://www.a.com/page.html пытается получить данные со страницы http://www.b.com/cors.txt. В случае если браузер клиента поддерживает технологию CORS, запрос будет выглядеть так:

GET /cors.txt HTTP/1.1
Host: www.b.com
Origin: www.a.com
"
Разве я не могу origin руками туда какой угодно указать во вредоносном js?
попробуй)
источник
13:44пожаловаться#13

AK

Alex K. in Django [ru] #STAY HOME
Alex K.
"Для инициации Cross-origin запроса браузер клиента добавляет в HTTP запрос Origin (домен сайта, с которого происходит запрос). Например страница http://www.a.com/page.html пытается получить данные со страницы http://www.b.com/cors.txt. В случае если браузер клиента поддерживает технологию CORS, запрос будет выглядеть так:

GET /cors.txt HTTP/1.1
Host: www.b.com
Origin: www.a.com
"
Разве я не могу origin руками туда какой угодно указать во вредоносном js?
Просто та же питонья либа requests позволяет вообще какие угодно запросы формировать, думаю, в js должно бы быть что-то подобное.
источник
13:44пожаловаться#14

h

hunnidolla in Django [ru] #STAY HOME
менять базу данных в законченом проекте не сильно сложно?
источник
14:40пожаловаться#15

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
Alex K.
Просто та же питонья либа requests позволяет вообще какие угодно запросы формировать, думаю, в js должно бы быть что-то подобное.
тут речь о том, что пользователь использует современый браузер и мой API не взломан и мой сайт не взломан)
источник
14:56пожаловаться#16

AK

Alex K. in Django [ru] #STAY HOME
Alexander Ovchinnikov 🦁
тут речь о том, что пользователь использует современый браузер и мой API не взломан и мой сайт не взломан)
Как выяснилось, js просто-напросто запрещает прописывать Origin руками. Остальное - ради бога, но Origin - нет. В принципе, подозревал, что как-то подобным образом оно и залеплено)
источник
14:58пожаловаться#17

AK

Alex K. in Django [ru] #STAY HOME
http://i.imgur.com/VwW5y2s.png
источник
14:58пожаловаться#18

C

Cyberdine Engineering🐤 in Django [ru] #STAY HOME
B
Начните с версий
я допилил свой кастомный адаптер для requests и заработало
источник
15:06пожаловаться#19

C

Cyberdine Engineering🐤 in Django [ru] #STAY HOME
openssl пересобирал, не помогало
источник
15:06пожаловаться#20